Öffentlicher PC. die II.

[Michael Zoet]

Andreas Hermann Braml schrieb:
> Hallo Christian,
>
> Am Donnerstag 11 Dezember 2008 22:46:10 schrieb Christian Meseberg:
>   
>> dass soll für den normalen Leser unterbunden werden. Kann er
>> Shell-Befehle ausführen, wenn die Rechte dazu entzogen wurden?
>>
>> Nein, falsch ;)
>>
>> Kann ich die Rechte entziehen, Shell-Befehle auszuführen?
>>     
>
> Ich habe das selbst noch nie benutzt, aber vielleicht hilft Dir rbash weiter? 
> (Wie man die rbash allerdings einstellt für überall, wo je Befehle abgesetzt 
> werden können, übersteigt mein Wissen auch schon.)
>   
Ich würde auch die rbash nehmen. Allerdings hat das auch Nachteile. Man
kann in keine Verzeichnisse mehr wechseln und man kann immer noch
beliebige Kommandos die in $PATH enthalten sind ausführen.
Grundsätzlich ist die Shell sowieso das wichtigste. Auch KDE und GNOME
brauchen eine vernünftige SHELL Umgebung um zu starten. Wenn man keine
Shell Befehle mehr ausführen kann, laufen die auch nicht richtig. Was
man machen kann ist die Umgebungsvariablen entsprechen anzupassen.
Insbesondere PATH.
Z.B. PATH=/usr/local/<DAS_DUERFEN_DIE_BENUTZER_AUSFUEHREN>
Wenn man dann die rbash benutzt, können die Benutzer nur die Programme
in diesem Pfad ausführen. Nachteil man muss dieses Verzeichnis pflegen
und viel testen...
Oder man setzt PATH=/usr/bin
In /usr/bin sind halt alle "wichtigen" Benutzerprogramme drin. Aber dann
fehlen dem Benutzer solche Programme wie tar usw.

Oder du arbeitest mit einer chroot Umgebung für die Benutzer. Was man
aber auch sorgfältig planen muss. ("debootstrap" kann hier weiter helfen)

Dann kannst du auch noch die guten alten Unix permissions dazu benutzen,
dass nur gewisse Benutzergruppen gewisse Befehle ausführen können. Da
muss man sich auch einen Plan zurecht legen und viel viel testen :-).
Z.B. kann man so den Befehl su für viele Benutzer nicht mehr zugänglich
machen. Was man aber auch über entsprechende Einstellungen in PAM
erreichen kann. Apropos PAM: ein Blick in die
Konfigurationsmöglichkeiten von PAM lohnen sich wenn man spezielle
Benutzer Umgebungen schaffen will. Allerdings ist PAM auch komplex und
man muss sorgfältig konfigurieren und testen!

Es gibt da sicherlich noch andere Wege die man gehen kann, aber egal was
man macht, sollte man sich die Frage stellen ob sich das auch wirklich
lohnt! Irgendetwas übersehen und die ganze Mühe war vergeblich.

Noch etwas zu den Programmen: neben ark als Archivierungs Programm gibt
es auch karchiver. Beide sehr ähnlich. (Natürlich gibt es für GNOME auch
so ein Programm...) Wenn eine Groupware installiert werden soll, lohnt
sich auch ein Blick auf eGroupWare und/oder Horde. Beides ist Browser
basiert und sehr einfach zu bedienen.

Wenn dieses Projekt irgendwann fertig ist, fände ich es sehr gut wenn
auf ubuntuusers.de ein kleiner Bericht stehen würde.

Grüße,

Michael


P.S.: ulimit ist auch noch eine schöne Methode Benutzer einzugrenzen.
Siehe dazu die Abschnitte in der (sehr ausführlichen) manpage von bash.
Bei einer Terminal Server Umgebung ist es sinnvoll diese auf vernünftige
Werte zu setzen.

-- 
Michael Zoet
Webseite: http://zoet.de
Jabber: michazoet at jabber.org